GN⁺: 인터넷 서비스의 KYC 요구사항에 대한 4일간의 이의제기 기간

IaaS 제공자의 고객 식별 프로그램 및 면제 관련 규정 요약

• 모든 미국 IaaS 제공자는 반드시 최소한의 요구사항을 충족하는 서면 고객 식별 프로그램(CIP)을 수립하고 이행해야 함
• CIP에는 고객 및 실소유자 식별 정보 수집, 외국인 고객 및 실소유자 신원 확인, 정보 보관, 정보 공개 관련 고객 통지 등의 절차가 포함되어야 함
• IaaS 제공자는 잠재 외국인 고객과 실소유자로부터 최소한 이름, 주소, 계정 결제 수단/출처, 이메일, 전화번호, IP 주소 등의 정보를 수집해야 함
• IaaS 제공자는 문서 또는 비문서 방식으로 외국인 고객과 실소유자의 신원을 확인하는 위험 기반 절차를 수립해야 함
• 고객 신원을 확인할 수 없는 상황에 대한 대응 절차도 CIP에 포함되어야 함
• 고객 정보 확인 과정에서 얻은 모든 정보의 기록을 최소 2년간 안전하게 보관하고, 제3자 접근을 제한하는 절차를 마련해야 함
• IaaS 제공자는 외국 리셀러에게도 CIP 유지와 이행을 요구하고, 리셀러의 CIP 사본을 요청시 10일 이내 상무부에 제공해야 함
• 미준수 외국 리셀러와의 거래는 30일 이내 중단해야 함

CIP 보고 요건 요약

• 모든 IaaS 제공자는 자사와 외국 리셀러의 CIP 이행을 상무부에 통보하기 위해 CIP 인증 양식을 제출해야 함
• 매년 CIP를 검토하고 업데이트하여 재인증해야 하며, 중간에 중대한 변경사항이 있을 경우 상무부에 통보해야 함
• 새로운 IaaS 제공자는 서비스 제공 전에 CIP 인증 양식을 제출하고, 새 외국 리셀러 추가시에도 통보해야 함
• 외국 리셀러로부터 CIP 정보를 수집하여 매년 상무부에 제출해야 함

CIP 준수 평가 요약

• 상무부는 IaaS 제공자의 CIP 사본을 요청하여 검사할 수 있으며, 미흡한 부분을 시정하도록 통보할 수 있음
• 상무부는 자체 평가나 IaaS 제공자 제출 정보 등을 바탕으로 위험도를 평가하고 준수 평가를 수행함
• 준법감시 결과에 따라 위험 완화 조치나 특별 조치 등을 권고할 수 있음

CIP 면제 규정 요약

• 상무부 장관은 IaaS 제공자, 계정 유형, 임차인, 외국 리셀러 등에 대해 CIP 요건 준수 면제를 부여할 수 있음
• IaaS 제공자는 IaaS 제품 악용 방지 프로그램(ADP) 수립을 통해 CIP 요건 면제를 신청할 수 있음
• ADP에는 위험 지표 식별, 탐지, 대응, 정기 업데이트 등의 정책과 절차가 포함되어야 함
• 면제 유지를 위해 ADP 변경사항을 상무부에 매년 통보해야 하며, 면제는 언제든 취소될 수 있음

특정 국가나 외국인에 대한 특별 조치 요약

• 상무부 장관은 특정 국가나 외국인이 미국 IaaS 제품을 악용한 사이버 활동에 연루되었다고 판단되면 특별 조치를 부과할 수 있음
• 해당 국가 내 외국인의 계정 개설을 금지하거나 조건을 부과하는 조치, 특정 외국인의 계정 개설을 금지하거나 제한하는 조치 등이 있음
• 특별 조치 부과 여부와 종류는 관련 요인을 종합적으로 평가하여 결정함

대규모 AI 모델 학습 보고 요건 요약

• IaaS 제공자는 외국인의 악의적 사이버 활동에 악용될 수 있는 대규모 AI 모델 학습 거래를 인지한 경우 15일 이내에 상무부에 보고해야 함
• 외국 리셀러도 동일한 보고 의무가 있으며, IaaS 제공자는 이를 30일 이내에 상무부에 제출해야 함
• 상무부 요청시 15일 이내에 추가 정보를 제공하는 후속 보고서를 제출해야 함
• 오류 발견시 15일 이내에 수정 보고서를 제출해야 함
• 보고서에는 외국인 고객 정보, 학습 관련 정보 등이 포함되어야 함
• IaaS 제공자는 외국 리셀러가 이 요건을 준수하도록 합당한 노력을 기울여야 함

규정 위반에 대한 집행 요약

• 금지 행위에는 CIP 미수립/미유지, 리셀러 CIP 미준수, 대규모 AI 모델 학습 금지/정지 미이행 등이 있음
• 상무부에 허위 진술을 하는 것도 위반 행위에 해당함
• IEEPA에 따라 건당 최대 25만 달러 또는 위반 거래액의 2배 중 큰 금액의 민사 제재금이 부과될 수 있음
• 고의 위반시에는 최대 100만 달러 벌금이나 20년 이하 징역형에 처해질 수 있음
• 이 외에도 미국법에 따른 다른 민사/형사 처벌이 가능함

GN⁺의 의견

이 규정은 미국 IaaS 제공자들에게 외국인 고객 식별과 검증을 의무화하여 악의적인 사이버 활동에 악용되는 것을 방지하려는 목적으로 보입니다. 특히 대규모 AI 모델 학습에 IaaS가 사용되는 것에 대한 우려도 반영된 것 같네요.

IaaS 제공자 입장에서는 고객 정보 수집과 검증, 기록 보관 등의 부담이 커질 것 같습니다. 외국 고객 확인이 쉽지 않을 수 있고, 프라이버시 이슈도 예상됩니다. 외국 리셀러와의 계약 관계도 영향을 받겠죠.

한편 정부는 이를 통해 IaaS 시장에 대한 통제력을 높이고 국가안보 위협을 차단하려 하는 것으로 보입니다. 특정 국가나 행위자를 타겟으로 한 특별 조치 조항이 눈에 띄는데, 지정학적 갈등을 반영한 것 같습니다.

대규모 AI 모델 관련 조항은 AI의 이중용도성에 대한 인식이 높아진 결과로 보입니다. 정부가 IaaS를 통한 AI 개발 활동을 감시하려는 의도가 엿보이네요. 기술 발전에 따른 새로운 위험에 대응하려는 시도로 해석됩니다.

이 규정은 국가안보와 기술혁신 간의 균형을 모색하는 과정으로 보입니다. IaaS 제공자들에겐 부담이겠지만, 장기적으로는 시장의 건전성과 신뢰도 향상에 기여할 수 있을 것 같습니다. 다만 과도한 규제로 인한 혁신 저해 우려도 있어 신중한 이행이 필요해 보입니다.